Dla administratora wiedzieć wcześniej to poważny atut, stąd się też bierze istnienie całego mnóstwa narzędzi wykrywających incydenty w działających systemach. W przypadku stosowania SELinux a w szczególności dozbrajania go własnymi politykami  trafiamy na problem niewystarczająco dobrze opisanych zależności  zabezpieczeń. Efekty widzimy w postać tzw. AVC denials im wcześniej je zlokalizujemy tym lepiej.

Tak więc najprostszym rozwiązaniem jest powiadomienie mejlem o wystąpieniu takiego zdarzenia. Można to osiągnąć na wiele sposobów, od najprymitywniejszych w stylu cron + grep'owanie audit.log'a po te bardziej wyrafinowane w postaci setroubleshoot[1]. Ten ostatni umożliwia w czasie rzeczywistym reagować na wystąpienie AVC i informować o tym m.in. w GUI oraz mejlem. Interesuje nas opcja mejlowa w tym celu wystarczy dopisać do pliku /var/lib/setroubleshoot/email_alert_recipients:

<adres_email_odbiorcy>                       filter_type=after_first

opcja filter_type=after_first oznacza, że zostanie wysłane tylko jedno powiadomienie na wielokrotne powtórzenia. Dodatkowo mejl jest na bardzo ,,informacyjnie'' zredagowany dostarczając sposoby na rozwiązanie problemu. Pozostałe opcje konfiguracyjne na temat wysyłki mejli znaleźć można w /etc/setroubleshoot/setroubleshoot.cfg. Na sam koniec wystarczy już tylko uruchomić usługę setroubleshoot.

[1] https://fedorahosted.org/setroubleshoot/


SELinux sandboxing

Sun 15 May 2011 by admin

SELinux oferuje nam kompleksową odpowiedź na wymagania stawiane polityce MAC. Dostarczane polityki bezpieczeństwa dostosowane są do aplikacji standardowo dołączanych do konkretnej dystrybucji. Co jednak gdy zamierzamy uruchomić nieznaną aplikację dla której nieokreślono jeszcze kontekstu bezpieczeństwa, pierwsza rzecz jaka się nasuwa to uzupełnienie takiej polityki bezpieczeństwa. Jest to jednak zadanie dość ...

read more

SELinux - netfilter SECMARK cd.

Thu 17 March 2011 by admin

Kilka miesięcy temu w cyklu o SELinux poruszyłem temat oznaczania pakietów w systemie netfilter i wiązania ich z polityką bezpieczeństwa:

http://blog.witalis.net/?p=460

Dobrym uzupełnieniem i rozszerzeniem tej tematyki jest artykuł Dana Walsh'a (osoba odpowiedzialna za rozwój SELinux'a w firmie RedHat):

http://www.linux.com ...

read more

SELinux - zabezpieczenie serwera WWW

Tue 09 November 2010 by admin

Najpopularniejszą metodą przetestowania działania SELinux jest uruchomienie serwera WWW oraz przeniesienie pliku np. z lokalizacji /tmp do lokalizacji ,,htdocs'' i próba jego otwarcia z poziomu przeglądarki. Okazuje się, że sztuka ta kończy się niepowodzeniem, pomimo nadania odpowiednich uprawnień. Dzieje się tak, gdyż przeniesiony plik posiada inny kontekst zabezpieczeń, do którego ...

read more

SELinux - współpraca z netfilter'em

Mon 06 September 2010 by admin

Kolejny wpis z SELinux'em w tytule, tym razem przybliżę moduł SECMARK dla netfilter'a i jego możliwości w kształtowaniu polityk bezpieczeństwa.

Projektując naszą aplikację sieciową nie sposób przejść obojętnie obok zagadnień filtracji ruchu sieciowego jaki do niej trafia. Realizować to można na wiele sposobów, najprościej podejściem czysto ,,administracyjnym'' TCP ...

read more

SELinux - materiały konferencyjne

Thu 08 July 2010 by admin

Tegoroczna konferencja Red Hat Summit dobiegła końca, pozostał po niej ślad w postaci prezentacji i nagrań wideo dostępnych pod adresem: http://www.redhat.com/promo/summit/2010/presentations/. Tematy, które królowały na konferencji to z pewnością długo oczekiwana wersja RHEL 6 oraz platforma RHEV, jednak nie obyło się też bez ...

read more

SELinux - confined users

Sat 26 June 2010 by admin

Kolejny wpis z serii SELinux w tytule. Poprzedni wpis koncentrował się na ograniczaniu działania konkretnej aplikacji, tym razem na celownik trafiają użytkownicy.

Począwszy od Fedory 9 mamy do czynienia z pojęciem confined users, są to użytkownicy, którzy przypisani mają konkretne role, a one z kolei są ściśle kontrolowane przez SELinux ...

read more

SELinux - tworzenie własnej polityki

Fri 18 June 2010 by admin

SELinux umożliwia lepszą kontrolę nad aplikacjami, bez ingerencji w kod danej aplikacji – tak najogólniej brzmi jedno z głównych założeń zaimplementowanego w Linux’ie mechanizmu zabezpieczeń. Sposób realizacji owej lepszej kontroli nad aplikacjami opiera się o implementację MAC (Mandatory Access Control). Otóż każdemu obiektowi w systemie (plik, proces, port etc.) jest ...

read more